jueves, 25 de febrero de 2010

Man in the ...

Lo primero, siento mucho no haber escrito en toda esta semana y media. A ver si puedo preparar mucho material para cuando no tenga tiempo para escribir o para cuando tenga dificultades para contar algo.

Y ahora... ¡Empezamos!

Hacía tiempo que leí una cosa con la que hemos estado trabajando estos días en el FTSAI. Se trata de un ataque llamado Man In The Middle (MITM).

¿De qué trata un ataque de estas características? Bueno. Lo voy a resumir mucho porque quiero guardar temario para otros posts.

Pongamos como ejemplo un escenario como el que sigue:

Escenario 1: Red de ordenadores conectados a Internet

Como podemos ver, este escenario consta de:
  • Dos equipos: E1_A  y E1_B.
  • Un router: E1_R conectado a Internet.
Estos equipos están conectados entre sí utilizando un enlace ethernet y ambos pueden acceder a Internet a través del router. Para que este tipo de ataques sea viable  tienen que existir switches, no deberían de haber hubs ni comportarse como tales. (Esto está actualizado: puse todo lo contrario) .

Pongamos un ejemplo: E1_A está visitando una página que requiere un loguearse. El usuario de E1_B es malvado y curioso. Quiere saber qué está visitando E1_A y, además, sacar alguna que otra contraseña que salga de ese equipo.

Una de las razones por las que no se puede usar conmutación es porque ésta se encuentra a nivel de enlace. ¿Qué significa esto? Los switches tienen un pequeño conocimiento de quién le está enviando un paquete y el puerto por donde tiene que enviarlo. En caso de que no sepa por dónde enviarlo, lo enchufará por todos aquellos por donde no han entrado. Volviendo al nivel de enlace. Al saber por dónde hay que enviar las solicitudes, la red sabrá que si E1_A quiere Internet, se lo tiene que enviar al puerto donde está conectado E1_R. Y viceversa: las respuestas del router irán al puerto donde está conectado E1_A. Si hubiera hubs, sería un lío con los paquetes que van y vuelven del emisor al receptor.

Este tipo de ataques lo que buscan es que E1_B hará creer a E1_A que es el router. Leerá los datos que esta última envía y a su vez se lo re-enviará al router E1_R haciéndole creer que es E1_A. En cuanto el router responda se producirá el efecto inverso.

Con esto, se puede llegar a ver los sitios donde se está metiendo. Incluso, se podrían llegar a ver las contraseñas. Y, si están llevan algún hash determinado, se podría llegar a sacar la contraseña en claro. Algo más complicado, que intentaré montar para otra ocasión, es conseguir capturar los datos HTTP que van por SSL.

Por cierto. Ayer, leyendo un post en F-Secure que habla de otro tipo de ataque al que ha denominado Man In The Browser. Éste tipo de ataques se basa, según he podido entender, en interceptar al navegador, no al equipo. Esto es así por la encriptación SSL de la que acabo de hablar. 


P.D: Vale, lo he explicado como el culo. Espero que no me vuelva a pasar. 


viernes, 12 de febrero de 2010

Mi propio AlertVirus!!


A fecha de hoy he modificado el script de Alertvir que hace unos días conté.

Ahora no tengo mucho tiempo para dar detalles. Por eso sólo voy a dar datos básicos:
- Está basado en Alertvir.
- El programa se alimenta de un RSS de CERT-INTECO, que, a su vez, lo he encontrado en la misma página de Alertvir. 
- Ya hablaré del código fuente, en la medida de lo posible, en otro momento. Lo importante es que he duplicado (forma muy suave de decir "copiado") abiertamente la estética del app de Alertvir. La única diferencia es que he cambiado el color de algunas letras, he quitado un campo y en el enlace de "saber más" he puesto un enlace a la URL de CERT-INTECO donde describe ese bicho. 
- El siguiente paso es buscar la forma de que se pueda incluir en la mayoría de los sitios. La razón por la que he reimplementado esto es porque la descripción del troyano que me estaba mostrando no se veía porque el color de fondo y el de las letras era el mismo. Dado que los estilos están hardcodeados en el gadget, no se podía cambiar el color de esa descripción. Hasta ahí es donde quiero llegar. Ya contaré lo que consigo en cuanto lo tenga.

Y poco más puedo contar. Buscaré la forma de incluir el enlace a este post para que quede constancia.

Actualización: A parte de corregir la fuente y ponerle un título a este post, he puesto un enlace... Bueno. Lo voy a corregir que ahora mismo está puesto post anterior.

Cambios

He hecho una serie de cambios en el blog. Si me lees desde un reader como puede ser el de Google, no podrás verlo. Tienes que acceder a la página para apreciarlos.

Uno de los cambios es que he añadido una columna a la izquierda. En algún momento ya comentaré cómo lo he hecho. Pero que conste que no todo el mérito es mío. Aunque ya sabía más o menos por dónde tirar, he buscado un poco de apoyo.

El otro cambio, que hay que sumarlo al anterior, es que he puesto uno de los indicadores de virus de los que comenté el otro día. Éste es el Alertvir, el pequeñito. Podría intentar ver cómo queda el otro, pero de momento voy a tirar con éste. Lo que sí que he visto, y que no me acaba de gustar mucho, es que el juego de caracteres no rula muy bien. Veré si se puede solucionar.

También tengo que estudiar qué medidor de amenazas incrustar. Las demos del otro día no es que me quedasen muy hasta allá. Cuando las estaba montando no veía los resultados en la vista previa. De hecho, incluso estuve editando muchas veces el post después de publicarlo.

lunes, 8 de febrero de 2010

Antivirus y avisos

El otro día, cuando encontré el test de conocimientos de seguridad de TrendMicro , también me encontré con una cosa muy interesante en alguna de las páginas de antivirus. Me encontré con la posibilidad de incluir un gráfico indicando el nivel de alerta de virus en el que nos encontramos según ese fabricante de antivirus. Y me estoy planteando poner alguno de esos en uno de los laterales. Además, también me encontré con que la Asociación de Internautas (AI) tiene un programita con unas funciones similares.

Por ejemplo, Alertvir, de la AI, indica el último virus conocido (entiendo que por ellos). De los dos códigos que permiten incluir, yo voy a poner uno de ellos:










Además, tiene su propio programa de instalación. ¡Pero cuidado! Algunos antivirus lo detectarán como sospechoso . El artículo es muy interesante. 



Otro gadget de los que disponemos es el que tiene TrendMicro. No voy a negar que no se cuál de los que he encontrado poner. Porque, si me meto en TrendMicro US tenemos un resultado que parece más colorido que si entramos en el TrendMicro ES. Aún así, ambos acaban mostrando el mismo nivel. Además, precisamente el que me gustaría poner, que es el pequeñito con colorines, no veo el código para incluirlo. Sí que he encontrado un código, pero que muestra más cosas de las que quisiera: 




Desde el sitio de TrendMicro donde podemos conseguir el código para mostrar este app dan la opción de incluirlo directamente en los blogs más habituales. Eso es un punto a favor para elegirlo como candidato a ser incluido en este sitio. 

Otro posible Virusómetro es el de Panda Antivirus. Me ha costado horrores encontrar los códigos: 


Además, Panda también tiene un mapamundi de los virus. 


Estos, aunque son de Panda los he encontrado para insertar en VirusPortal, porque lo que es la firma de antivirus no es que faciliten las cosas para encontrarlos. 

Symantec Norton tiene su Thread Con. Éste, a parte de la barrita colorida, tiene un menú que se despliega de derecha a izquierda, con el que se veremos información como el mapamundi de las amenazas, un ordinograma, informes sobre los últimos virus y amenazas. 


Creo que este no es candidato por diversas razones. Una, no se deja incluir en el blog (lo he intentado y nada de ). En una página normal y moliente sí que rula. Dos, si bien tiene bastantes informes que pueden estar interesantes, que se despliegue un menú en el sentido en el que lo hace no me agrada mucho. Y tres, la fecha no está en dd/mm/aaaa sino en mm/dd/aaaa. Como estoy acostumbrado al primer formato... Lo que pasa es que mirando el código fuente parece que se pueden cambiarle algunos parametros. A ver qué puedo hacer.

Y esto es todo lo que puedo ofrecer, por ahora. Como ya he dicho, ya veré cómo modifico el aspecto para poder incluir alguno de estos ejemplos. Aún así, también tendré que ver cómo arreglarlo para que encaje bien. Vamos, que tendré que tocar los estilos.

Espero que estos ejemplos os sean de utilidad.


ATENCIÓN: Aquí estoy poniendo estos medidores de riesgos que no tienen nada que ver conmigo. Es decir. Los responsables de la información que muestran es cosa de cada una de sus empresas. Y, como éstos se ofrecen de forma gratuita, no tiene por qué haber una eficiencia del 100%. Luego, cualquier acción que se tome con respecto a lo que se muestra aquí será únicamente responsable aquel que la realice. He dicho. 

viernes, 5 de febrero de 2010

TrendMicro Test

Ayer estuve buscando cosas de antivirus y llegué a la página de TrendMicro. Mirando un poco unas cuantas cosas que ofrecían llegué a un test para comprobar qué tal estaba en temas de seguridad. Y la verdad... qué decepción!!! Lo he hecho y entre que se me ocurrió responder a alguna pregunta sin acabar de leer todo y alguna que otra respuesta no se me ocurrieron algunos casos, me han dado una puntuación de 6 (no se sobre cuanto). Según su nomenclatura, de las 4 notas que se podían conseguir, me han dado una A. ¡Qué verguenza! Quiero decir... ¡Qué vergüenza!

El test se hace sobre una aplicación flash. Todo con colorines y musiquita. Con un sonido determinado si aciertas y con otro (una detonación de un disparo) si fallas. Además, da explicaciones de las razones por las que es cierta o falsa cada una de las respuestas.

El que lo haga que me cuente qué tal le ha salido, ¿vale?


miércoles, 3 de febrero de 2010

XSS en hablemosdeeuropa.es

Desde... SbD nos enseñan un nuevo caso de XSS en la página de hablemosdeeuropa.es. Una de esas páginas preparadas para hacer política.

El caso es que nos enseñan una imagen con un alert:

Imagen de SbD y su XSS

Una vez echas las pruebas, a estas horas parece que ya está arreglado. O, al menos, desde el Chrome sale esto:


XSS desde Chrome: solucionado.

Como se puede ver, en ambas imágenes, en el recuadro de texto, la diferencia entre lo que procesa radica en que la búsqueda tiene modificados los caracteres especiales. Ahora. Si hago una prueba con el IE8 en el que intento que se muestre algún texto, como por ejemplo, HOLA MUNDO, me sale esto:

XSS desde IE8. Bloqueado.

El IE8 detecta un posible XSS y lo "bloquea". Desde aquí es muy difícil de ver, pero también me ha llamado la atención el texto en la página de arriba a la izquierda. 

// var MSOWebPartPageFormName = 'aspnetForm'; // 

No me apetece investigar mucho... Así, a simple vista, se puede dar por hecho que es un comentario por las dobles barras. Y que se trata de un formulario. ¿Será el formulario desde el que se realiza la búsqueda? Si miramos el código fuente desde la página abierta con el Chrome, se puede encontrar que aspnetForm es el nombre del formulario y más abajo tenemos la siguiente línea:

[script type="text/javascript"] var MSOWebPartPageFormName = 'aspnetForm';[/script]

Para el que no lo sepa, los corchetes se tendrían que cambiar por < el [ y ] por > . Lo he puesto así para que no se "oculte" cuando se cargue esta página (espero que los que saben del tema sepan a qué me refiero). Esto es lo que el sistema anti XSS del IE8 ha bloqueado. Y este el código fuente que ha resultado del bloqueo:


Codigo fuente modificado

Como se puede ver, IE8 ha modificado una letra del tag script y le ha puesto una #.

Por cierto. Al aceptar la barrita de aviso sale más código:

Código al final de la página tras aceptar aviso